Nr.66 - Orientering om udrulning af EU´s persondataforordning

Sagsnr.: 18/2964

 
Hans Nissen (A)

Beslutningstema

Økonomiudvalget orienteres om proces for udrulning af EU´s persondataforordning (GDPR) i Fredensborg Kommune samt godkender bevilling til projektet.

Sagsfremstilling og økonomi

Baggrund og Problemstilling:

Den 25. maj 2018 træder EU’s persondataforordning (GDPR) i kraft - den afløser den nuværende 16 år gamle persondatalov. Forordningen har til formål at styrke og harmonisere beskyttelsen af personoplysninger i EU, men gælder også evt. udveksling af data med lande udenfor EU. Fredensborg Kommune har pligt til at leve op til gældende lovgivning.

For begge regelsæt gælder, at borgeren er i centrum, men den nye forordning medfører en skærpelse af krav til data- og behandlingssikkerhed samt it-sikkerhed.

Der er krav om løbende dokumentation af databehandlingsaktiviteter, modenheds- og risikovurderinger med tilhørende procedurer og kontroller.

 

Processen:

Den ny persondataforordning er ikke endeligt vedtaget i Danmark, men EU’s lovgivning og vejledninger vil ikke adskille sig væsentligt fra de regler, der er i dag, når det gælder informationssikkerhed. Det nye vil være stram opfølgning, øget dokumentation og efterlevelse i henhold til GDPR og ISO-standarderne, herunder ansættelse af en DPO (Data Protection Officer).

 

Fredensborg Kommune har løbende fulgt KL’s udmeldinger om en endelig udmøntning af persondataforordningen, herunder at afvente Justitsministeriets vejledninger til loven for at undgå unødig administration. Vejledningerne er imidlertid forsinkede og da vi ikke kan vente længere, har administrationen nu igangsat en større indsats med GDPR implementeringen.

 

Der er opbygget en program- og projektorganisation, hvor omdrejningspunktet er opfyldelse af GDPR’s mest centrale områder. Projektorganiseringen vil omfatte store dele af organisationen og kræve en betydelig ressourceindsats.

 Processen vil løbende blive justeret i henhold til KL’s udmeldinger og inspiration fra de eksisterende samarbejdsflader i det Nordsjællandske Digitaliseringssamarbejde (NDS) – og i takt med at ministeriets vejledninger på området foreligger.

 

Ejerskab:

Center for Ejendomme og Intern Service (CEIS) har det daglige ansvar for it-sikkerheden i Fredensborg Kommune. GDPR er imidlertid en tværorganisatorisk disciplin, hvor databehandlingsaktiviteter, og dyb systemforståelse- og understøttelse skal være i fokus. Implementering af persondatabeskyttelsesforordningen kan altså ikke klares af nogle få it-folk, men kræver en indsats fra alle i organisationen, der modtager, arbejder med og har adgang til persondata.

 

Aktuelt GDPR og informationssikkerhedsniveau:

Der er indledningsvis behov for afdækning af modenhed, succeskriterier, prioritering og igangsætning af aktiviteter for at kunne leve op til den skærpede GDPR lovgivning, hvor administrationen arbejder med personhenførbare data.

Det skal afdækkes om procedurer for behandling af persondata er forankret, dokumenteret og nedskrevet i alle dele af organisationen.

Arbejdets omfang med implementering af GDPR kendes først, når baseline i de enkelte centre foreligger. Herefter vil der kunne udarbejdes tidsplan for den endelige implementering og udpeges risici i forbindelse med mangler i forhold til opfyldelse af myndighedskrav

 

DPO (Data Protection Officer):

DPO’ens primære opgave er via rådgivning og overvågning at sikre organisationens overholdelse af persondataforordningen og interne politikker om beskyttelse af personoplysninger.

Fredensborg Kommune er med i et fællesskab; Nordsjællands Digitaliseringssamarbejde (NDS), hvor der i fællesskab ansættes to DPO’er, således at en DPO får ansættelseskontrakt i 4 kommuner og den anden DPO får ansættelseskontrakt i 3 kommuner. Stillingerne er pt opslået.

En eller begge DPO’ere kan tidligst starte i april måned.

Når DPO’en er startet, vil der sandsynligvis være et så stort ressourcetræk, at Fredensborg Kommune indledningsvis ikke skal regne med nogen større operationel eksekvering fra DPO’ens side.

Det er derfor vigtigt at vi, fra starten af programforløbet får prioriteret at stille de rigtige ressourcer til rådighed og supportere programmet på bedst mulig vis.

 

GDPR hovedaktiviteter:

Programmet omfatter flere parallelle spor (selvstændige projekter), som samlet styres fra én programleder. Fokus er på at være klar på flest mulige punkter i forhold til GDPR inden 25. maj 2018 og så vidt muligt med de mest kritiske områder, som er centrale i forhold til Forordningen.

 

Der forventes stor inddragelse af nøglepersoner fra alle relevante Centre.

 

Hovedsporene er:

                  Kommunikationsstrategi (informationskampagner i organisationen).

                  Baseline i Administrationen.

                  KLE (Kommuners Landsforenings Emneplan) systemmapning/arbejdsgange.

                  Sårbarheds- og konsekvensvurderinger (DPIA) i organisationen - på Centerniveau.

                  Systemejere.

                  Behandlingstyper – KLE mapning.

                  Procedurer og kontroller. Udarbejde og/eller opdatere arbejdsprocesser. Korrigere for nuværende afvigelser.

                  Dataflow analyser.

                  IT-informationssikkerhed. Implementering af de vigtigste elementer i ISO27001/2 samt it-beredskab.

                  Styr på aftaler.

                  Sikre leverandør- og databehandleraftaler.

                  Uddannelsesforløb.

                  Awareness programmer for samtlige medarbejdere – bl.a. undervisning i it-sikkerhed og overholdelse af gældende lovgivning omkring håndtering af persondata. Endvidere opmærksomhed på de ny regler og arbejdsprocesser.

 

Governance:

Økonomiudvalget er som personale og organisationsudvalg øverst ansvarlige for det samlede program og dermed programejer og vil med passende mellemrum få rapportering fra DPO’en.

 

Økonomi:

Med EU’s persondataforordning kommer der nye krav til dokumentation og opfølgning i forhold til de nye sikkerhedsstandarder. Da modenheden i Centrene ikke p.t. kendes, er det estimerede timeforbrug et kvalificeret skøn.

Økonomien til en delt DPO vil forventeligt ligge på ca. kr. 200.000 pr. år, baseret på en fordelingsnøgle, der tager udgangspunkt i indbyggertal.

 Det giver følgende eksterne økonomi:

 Eksterne midler 2018 - igangsætning

Kroner

DPO (9 mdr.)

150.000,-

GDPR konsulent (4 mdr.)

460.000,-

Compliance værktøj / licens

50.000,-

Software til E-Learning

20.000,-

Software til videoredigering

10.000,-

Eksternt tryk – oplysningskampagne – f.eks. store plakater

10.000,-

Cybersecurity - Penetrationstest

120.000,-

Reserve

80.000,-

I alt 2018

900.000,-

 

 Der gøres opmærksom på, at midler i 2018 til ekstern konsulent muligvis ikke er den endelige ramme. Omfanget kendes først efter baseline aktiviteterne og den øvrige fremdrift i projektet.

 

I 2019 forventes udgifter på ca. 200.000 kr. til DPO samt ca. 400.000 til færdiggørelse af ISO27001/2 i Drift og Support; i alt 600.000 kr.

 

På nuværende tidspunkt er det vanskeligt at estimere udgifter til det øgede dokumentations- og opfølgningsarbejde, men det kommer til at kræve en del interne timer pr. center. Pt. er der kalkuleret med 50 timer for Centre, som er nogenlunde i compliance og 150 timer for dem, hvor det viser sig, at der er større udfordringer. Med en fordelingsnøgle på 4 (50)/5 (150) giver det 950 timer.

  

Interne timer 2018 - igangsætning

Timer

Programledelse (Borgerservice og Digitalisering) – 4 mdr.

600

1 ekstra ressource (Borgerservice og Digitalisering) – 4 mdr.

600

Kommunikation – udarbejdelse af materialer

100

Inddragelse af superbrugerkorpset

400

ISO27001/2

300

Leverandører - databehandleraftaler

150

Administrationen – estimeret (Baseline afgør forventet ressourceforbrug)

(950)

I alt 2018

3.100

 

I ovenstående beregning af timer, er der kun estimeret med 4 måneders programlederfunktion. Viser det sig, at der efter denne periode stadig har mange tværgående aktiviteter kørende, anbefales en forlængelse af allokeringen.

 

Opsummering:

Der skal gøres opmærksomt på, at manglende overholdelse af GDPR kan udløse en bøde op til 4 pct. af den årlige omsætning for private virksomheder. Sanktionerne for offentlige myndigheder kendes endnu ikke.

Implementering af GDPR er en stor opgave. Fredensborg Kommune vil nå langt inden den 25. maj, men endelig implementering af GDPR forventes først at kunne ske med udgangen af 2018.

Det er dog administrationens forventning, at kommunen med en troværdig og saglig GDPR projektplan samt dennes dokumenterede igangværende implementering i høj grad vil kunne leve op til intentionerne i den nye lovgivning.

I perioden frem til den 25. maj, er det målet at Fredensborg Kommune vil have:

        Gennemført orienteringsmøder, informationskampagner og Awareness for medarbejdere

        Afdækket administrationens udgangspunkt, og igangsat korrigerende handlinger for at overholde den ”administrative praksis”.

        Udarbejdet en detailplan for hvert område i administrationen.

        Udarbejdet KLE mapning, og etableret fuldt overblik over systemer, aftaler og databehandlere (databehandleraftaler) – (Er i gangsat)

        Gennemført it-baseline i Drift & Support, og igangsat korrigerende  handlinger for at overholde de vigtigste områder i ISO27001/2.

        IT-sikkerheden er testet via penetrationstest og it-sikkerheden  tilpasset efter fundne sårbarheder.

 

Bevilling

Administrationen anbefaler, at der gives en ekstra bevilling til implementeringen af GDPR, dog således at finansieringen findes inden for den eksisterende ramme. Konkret fremsætter administrationen forslag til at finansieringen sker af mindreforbrug i 2017 i overførselssagen (særskilt punkt på dagsordenen).

Retsgrundlag

 

 

Kompetence

Økonomiudvalget

Indstilling

  1. At orientering om proces for udrulning af EU’s persondataforordning (GDPR) i Fredensborg Kommune tages til efterretning og godkendes.
  2. At spørgsmålet om finansiering af projektet på 1,5 mio. kr. afklares i særskilt sag vedr. overførte midler fra 2017 til 2018.

Beslutning i Økonomiudvalget (18-21) den 19-03-2018

Orienteringen blev taget til efterretningen